Сергей
не рекомендую
Сергей
дропиться полезный трафик.... в раве у меня "стукачи" (правила заносят в адрес листы)
Сергей
в раве нет цепочки инпут... там только прероутинг, построутинг и оутпут
Сергей
для безопастности, а если еще и делаются постоянные списки, то вообще бомба...
Сергей
каждый по разному извращается
cgooq
дропиться полезный трафик.... в раве у меня "стукачи" (правила заносят в адрес листы)
если роутер не резолвер, какой полезный трафик там дропается в input?
cgooq
для wan интерфейса конешн
Сергей
В РАВЕ НЕТ ИНПУТА
Сергей
там только прероутинг.... а он может быть и инпут и форвард
Сергей
вот по этому у меня в фильтре правила на дроп и режект по адрес листам
Сергей
я больше скажу это есть и в фильтре
cgooq
raw как пример был, вообще в дефолте (не блэнк) уже есть показательное action=drop in-interface=ether1
Владимир
Я рав пользую для фильтра заНатеных портов... ибо дстНатнутые порты в фаервол фильтрах не ловятся
Сергей
и ???
Сергей
Илья, вы можете ради эксперемента в раве прописать дропнутое правило на 53 порт...
Kartograf
А зачем вообще фильтровать днс в раве извне?
Сергей
флуд.... не весь днс.... я только в фиксирую не доброжелателей в раве, а в фильтре реджект с отсылкой сообщения, что порт не доступен
Kartograf
Сергей
на ване
Kartograf
Окей чем правило в раве лучше
/ip firewall filter add action=reject chain=input comment="drop DNS flood" dst-port=53 in-interface=sfp1-gateway protocol=udp reject-with=icmp-network-unreachab?
Сергей
не понял вопроса
cgooq
Владимир
А мне почемуто кажется что реджект только на тср действует... на удп не канает.... (могу путать)
Сергей
В РАВЕ нет инпута и форварда
Сергей
тут есть вероятность того, что будет блокироваться полезный трафик
Сергей
проходящий
Kartograf
до трекинга не долетает и не грузит чпу
ну только в этом смысл, но это если прям ОХ КАК МНОГО летит
Kartograf
тут есть вероятность того, что будет блокироваться полезный трафик
вероятность? какой например?
Kartograf
в роутер?
cgooq
я думаю тут столкнулись 2 типа политик, я люблю на input с wan дропать "все кроме", а XerzErz видимо "разрешать все кроме" и тут нада dns прописывать, и ntp и snmp и четамеще?
Владимир
В РАВЕ нет инпута и форварда
Вот мы и выяснили зачем правило, которое ловит и добавляет в адресЛист всех кто стучится извне на 53ий порт.... чтобы дропнуть этот адресЛист на раве
Сергей
с днсом
Kartograf
Господа!!! В РАВЕ нет ИНПУТА!!!! тут могут быть проблемы
я тут как бы не про рав вообщем (:
cgooq
Вот мы и выяснили зачем правило, которое ловит и добавляет в адресЛист всех кто стучится извне на 53ий порт.... чтобы дропнуть этот адресЛист на раве
ну так правило каждый запрос добавляет в лист, в "чем соль"? Видеть кучу ip ботов в листе?
Владимир
ну так правило каждый запрос добавляет в лист, в "чем соль"? Видеть кучу ip ботов в листе?
Ну хочется человеку... )))))) вот и соль
Владимир
промахнулся, там про Serg Vasin 😂
)))))))))))))))) мой фаервол вообще лучше не видеть
Сергей
что мы спорим .... Экспереминтируйте!!! у меня так может у вас лучше
Сергей
один гуру на муме рекомендовал реджектить флуд на 53 порт
Kartograf
применять raw для дропа dns flood изврат ИМХО
Сергей
это не изврат... это самоубийство....
Сергей
/ip firewall filter
add action=reject chain=input dst-port=53
protocol=udp reject-with=icmp-port-unreachable
add action=reject chain=input dst-port=53
protocol=tcp reject-with=icmp-port-unreachable
Сергей
взял отсюда https://mum.mikrotik.com/presentations/US17/presentation_4241_1496042977.pdf
Сергей
почитайте полезная презенташка
Сергей
встреча пользователей микротика
Сергей
в октябре будет встреча https://mum.mikrotik.com/2017/RUM/agenda
cgooq
Kirilka
Почему?
Меня вот учили что raw меньше ресурсов жрет чем filter...
Kartograf
Почему?
Меня вот учили что raw меньше ресурсов жрет чем filter...
Это бесспорно, но какой смысл ставить пво защиту против стрел?
Kirilka
Построить деревянный щит против стрел: 900 кредитов.
Построить ядерное бомбоубежище(защищает от попадание ядерной боеголовки ну и до кучи от стрел): 600 кредитов.
Ваш выбор?
Kartograf
Построить деревянный щит против стрел: 900 кредитов.
Построить ядерное бомбоубежище(защищает от попадание ядерной боеголовки ну и до кучи от стрел): 600 кредитов.
Ваш выбор?
Тогда мне довольно любопытно, почему это еще используют деревянные щиты? (:
Kirilka
1) Щит можно выпилить удобного размера) а не только 2х2х1.5 м
2) у нас же файрвол, т.е. огненная стенка. А деревянный щит может гореть и стать огненной стеной. А вот бомбоубежище врядли так сможет...
Moneron 🇷🇺
флуд.... не весь днс.... я только в фиксирую не доброжелателей в раве, а в фильтре реджект с отсылкой сообщения, что порт не доступен
А вот это идеологически неверно. Т.к. реджект тоже используется для атаки усиления. Снаружи всё нужно просто дропать. А в raw это ещё и дёшево
Сергей
А вот это идеологически неверно. Т.к. реджект тоже используется для атаки усиления. Снаружи всё нужно просто дропать. А в raw это ещё и дёшево
Возможно! А почему же в раве дропается полезный трафик?
Сергей
Moneron 🇷🇺
Господа!!! В РАВЕ нет ИНПУТА!!!! тут могут быть проблемы
Да что же Вы заладили? Нет, ибо до коннтрека расположен. В этом и есть его прелесть. По списку в нём дропать – пожалуйста. Какая разница – инпут, форвард, если выяснили, что от адреса отправителя ничего хорошего ждать не стоит?
Moneron 🇷🇺
ну так правило каждый запрос добавляет в лист, в "чем соль"? Видеть кучу ip ботов в листе?
Ну вот да. Бестолково это
Сергей
Да что же Вы заладили? Нет, ибо до коннтрека расположен. В этом и есть его прелесть. По списку в нём дропать – пожалуйста. Какая разница – инпут, форвард, если выяснили, что от адреса отправителя ничего хорошего ждать не стоит?
Т.е. Вы предлагаете перенести правила которые добавляют в адрес лист в фильтр, а правила дропа по адрес листу в рав?
Moneron 🇷🇺
это не изврат... это самоубийство....
Если у вас в серой сетке есть днс-сервер, и вы к нему натите запросы – то да
Moneron 🇷🇺
Сергей
Один из бэстпрактисов
Хорошо! А что же в той презентухи выше я её цитировал рекомендует реджектить?
Moneron 🇷🇺
Хорошо! А что же в той презентухи выше я её цитировал рекомендует реджектить?
Ну, я с этим не согласен. Смотрите. Помните детскую забаву? Вас кто-то толкает сзади, Вы разворачиваетесь и толкаете обидчика с двойной силой? А это оказался не он :) Тут точно так же: Вам прилетает фейковый запрос, вы можете его дропнуть (дёшево, в раве почти бесплатно), а можете ответить (режект). В последнем случае Вы тратите свои ресурсы на то, что не нужно, т.к. скорее всего Вас спрашивали не с того адреса, который стоит в заголовке, как src
Moneron 🇷🇺
Лично я призываю к разрешительной политике для wan: можно пинг/винбокс/л2тп, нельзя всё остальное (в т. ч. днс)
Moneron 🇷🇺
Снаружи в принципе не нужно отвечать на запросы, летящие на udp:53, поэтому в раве можно сделать правило по интерфейсу или интерфейс-листу, безо всяких уточнений в виде списка адресов
cgooq
cgooq
Сентябръ ждемс
Dmitriy
Всем привет. заметил странное поведение routeos. При распространеении настроек посредсвом ssh было замечено на 40% что правило фаервола считает пакеты и трафик но не отрабатывает, перезагрузка и нажатие кнопки применить не помогает. но если в винбоксе в данном правиле тыкнуть в любое поле напримен галка лог и обратно отжать с дальнейшим применением настроек, то правило начинает работать коректно
Dmitriy
никто с таким не сталкивался , как лечется?
Kirilka
Лечение описано же: "тыкнуть в любое поле"
blyumazeiko
Больше на костыль похоже, а не решение
Moneron 🇷🇺
Всем привет. заметил странное поведение routeos. При распространеении настроек посредсвом ssh было замечено на 40% что правило фаервола считает пакеты и трафик но не отрабатывает, перезагрузка и нажатие кнопки применить не помогает. но если в винбоксе в данном правиле тыкнуть в любое поле напримен галка лог и обратно отжать с дальнейшим применением настроек, то правило начинает работать коректно
Ни разу такое не видел. Всегда что из кли, что из винбокса работало всё нормально
Дмитрий
Были подобные траблы с мангалами, когда просто заходил в правила и пересохранял, но сетовал на сырой 3011
Дмитрий
Больше ни разу такого не было !
cgooq
hAP AC MESH аля Amplifi или Unifi AP AC MESH умеет? В идеале на базе CAPsMAN'а
qq all!